čísle. Oproti prvnímu přehledu, v němž jsme si představili kolekci zařízení
nabízející různé zajímavé možnosti "malého" síťování, se dnes zaměříme na
poměrně tradiční požadavek - zabezpečenou síťovou komunikaci.
Ne že by jinak u malých routerů či ADSL integrovaných modemů hrála bezpečnost
druhořadou roli - koneckonců drtivá většina z nich již disponuje velmi slušně
vybavenými ochrannými mechanismy, zahrnujícími paketové filtry, firewally na
aplikační úrovni či jednoduché systémy pro boj s útoky s cílem znepřístupnit
služby a prostředky (DoS). My jsme se však v tomto výběru zaměřili na další
možnosti bezpečného síťování, a to sestavování šifrovaných síťových tunelů a
tvorbu tzv. VPN, tedy virtuálních privátních sítí. Schopnosti různých zařízení
jsou opět komentovány v příslušných odstavcích.
Kam vede tunel?
Možnost sestavování virtuálních tunelovaných spojení je dnes již považována za
poměrně běžnou záležitost a ochrana komunikace např. mezi různými firemními
pobočkami či cestujícími uživateli a firemní sítí není ani v "domácích"
podmínkách žádným luxusem. V zásadě lze z koncepčního hlediska tato spojení
rozdělit na dvě skupiny. První z nich můžeme též nazvat jako klasické
tunelování a řadíme sem ta řešení, jejichž cílem je propojit dvě a více poboček
- firemních či domácích sítí. Výsledkem takového postupu je vlastně sjednocená
lokální síť, jež překlene dálkové linky právě v podobě chráněného virtuálního
tunelu. Ten realizujeme pomocí plynule zasílaných šifrovaných paketů, a to
především po internetu. V praxi pak situace vypadá tak, že na straně lokálního
síťového segmentu, kde je nabízeno připojení pomocí Wi-Fi či ethernetových
portů, probíhá normální provoz, při snaze zaslat data na jinou pobočku provede
brána šifrování a zapouzdření do tunelu, jenž je sestaven v prostředí ADSL či
kabelové přípojky. Tyto spoje jsou též označovány jako brána-brána
(gateway-gateway).
Druhou skupinou VPN jsou připojení vzdálených jednotlivých klientů a jejich
bezpečné propuštění do lokálního síťového segmentu. Logika věci je zde v
podstatě otočena: vzdálený uživatel s přenosným počítačem sestavuje po
internetu tunel a "tluče na vrata" naší brány zvenčí, tedy z ADSL či kabelové
přípojky. Šifrovaný tunel je zde, na prahu lokální firemní či domácí sítě,
ukončen a další komunikace pokračuje uvnitř sítě, pomocí Wi-Fi či některého
ethernetového portu. Tato spojení bývají též označována jako vzdálený klientský
přístup (remote access) či klient-brána. Oba popsané scénáře jsou dnes u
hardwaru pro malé sítě běžně realizovatelné a řada zařízení podporuje paralelní
provoz více tunelů obou druhů.
Jak vzniká VPN?
Aktuální vývoj v oblasti síťové bezpečnosti s sebou přinesl významnou
skutečnost v podobě sjednocení používaných technologií, takže prakticky ve
všech zařízeních jsme nalezli jednu ze tří nejpoužívanějších technologií pro
sestavování VPN. Jednoznačně nejrozšířenější a de facto standardní implementací
je ochrana pomocí šifrování síťových paketů s názvem IPSec. Přestože zde
představujeme hardware relativně levný, prakticky všude jsme nalezli slušné
možnosti pro šifrování IPSecu: pro ochranu paketů před odposlechem jsou
dostupné algoritmy DES či 3DES, v lepším případě též nejnovější AES, pro
zajištění autenticity paketů ("digitálního podpisu") za účelem zabránění
podvrhům či modifikacím na trase jsou nabízeny hashovací algoritmy MD5 či lepší
SHA1. Na druhou stranu snaha o co nejsnazší implementaci v malých sítích se
projevuje u jiné vlastnosti implementace IPSecu: prakticky všude se protistrany
při sestavování tunelu navzájem ověřují pomocí tzv. preshared key (sdíleného
klíče, tajemství), tedy vlastně hesla, jež administrátor zadá ručně.
Pokročilejší řešení s digitálními certifikáty prakticky není u těchto zařízení
k vidění. Kromě čistých tunelů IPSec jsou k vidění další dvě technologie
především pro připojování vzdálených uživatelů. Zatímco protokol PPTP je spíše
určen pro starší klientské OS, novější L2TP představuje, obzvláště ve spojení s
IPSec šifrováním, novější generaci se světlou budoucností.
Kde hledat rozdíly?
Přestože mnohá zařízení disponují na první pohled stejnou výbavou, skutečnost
je často komplikovanější, a proto je potřeba se před koupí a při testování
zaměřit na některá důležitá hlediska. V první řadě si ověřte, zda je možné
provozovat vámi požadované typy VPN spojení, tedy buď mezi pobočkami, nebo
směrem ke vzdáleným uživatelům, případně obojí zároveň. Nenechte se zmást
reklamními nápisy a otestujte, kolik paralelních tunelů lze skutečně
provozovat, neboť často jsou zařízení různě omezena: obzvláště počet tunelů
mezi pobočkami nebývá zbytečně vysoký. V neposlední řadě se zaměřte na
hardwarovou výkonnost a skutečnou propustnost sestavených tunelů - šifrování
IPSec je výpočetně velmi náročné a přestože konfigurační rozhraní dovoluje
předem nastavit až desítky tunelů, reálně jich často může zároveň běžet méně
než 10. Seriózní dodavatel či výrobce by vám tyto informace měl sdělit, neboť
je bezpochyby zná, a mnohá zařízení mají přímo své zabudované limity.
D-Link DI-804-HV
(http://www.dlink.cz) Tento model v tuzemsku dobře známého výrobce představuje
poměrně univerzální řešení pro hardwarové sdílení internetové linky spolu s
širokou podporou pro virtuální privátní sítě. Pomocí ethernetového konektoru
RJ-45 lze připojit jak kabelový, tak ADSL modem, neboť je podporováno připojení
se statickou i dynamickou adresou a rovněž PPTP směrem k poskytovateli.
Alternativou je sériové rozhraní (COM) pro dial-up variantu, škoda jen, že obě
možnosti nelze použít zároveň. Obsluha LAN klientů je řešena DHCP serverem,
jenž však nemůže rozdávat adresy mimo pevně daný adresní rozsah se síťovou
maskou třídy C. Po stránce VPN podpory je router vybaven velmi slušně. Dovoluje
paralelně obsluhovat až 40 tunelů mezi vzdálenými branami, pro šifrování IP Sec
je dostupný jako nejsilnější 3DES a klíče lze definovat jak ručně, tak vyměnit
dynamicky. Míra bezpečnosti je jednoznačně dána faktem, že pro autentizaci
IPSecu lze použít pouze sdílený (preshared) klíč. Router podporuje též funkci
PPTP serveru. Z dalších vlastností je třeba zmínit dobře provedený firewall a
podporu průchodu PPTP i L2TP VPN tunelů skrz filtry.
Zapůjčila firma: D-Link, Česká republika
Cena vč. DPH: 3 060 Kč
Level One WBR-3402B
(http://www.vanet.cz) Zařízení u nás neznámé značky je výhradně určeno pro
univerzální sdílení ADSL přípojky, neboť integruje jak ADSL modem, tak router,
firewall a VPN bránu a Wi-Fi přípojný bod. Kromě 4 ethernetových portů je tedy
vybaven jedním konektorem RJ-11 pro připojení k ADSL splitteru, další možností
je připojení síťové tiskárny pomocí jednoho portu USB. Možnosti obsluhy lokální
sítě posiluje Wi-Fi v obou tuzemských variantách 802.11b/g. Výbava pro tvorbu
VPN tunelů je standardního rozsahu. Podporován je IPSec, nejsilnějším
algoritmem je zde 3DES, autentizace je prováděna metodou preshared key a předem
lze přichystat až 40 tunelových spojení, jejichž současný počet je možno
omezit. Šifrovací klíče je možné vyměňovat dynamicky nebo nastavit napevno.
Bezdrátová výbava podporuje varianty b/g a možnosti zabezpečení jsou poměrně
slušné: podporován je standard WPA i "domácí" varianta WPA-PSK, dále klasický
WEP a "holý" 802.1x s WEPem. U WPA varianty, bohužel, není možné vybrat novější
standard AES. Dobrou možností pro LAN připojení je libovolné nastavení IP
adresace. Serveru DHCP lze přidělit příslušný rozsah, avšak pouze v mezích
třídy C. Solidní možnosti nabízí zabudovaný firewall.
Zapůjčila firma: Vanet, s. r. o.
Cena vč. DPH: 5 900 Kč
Level One WBR-3403TX
(http://www.vanet.cz) Tento router je mírně odlišnou variantou jiného zařízení,
jež v našem přehledu také najdete pod stejnou značkou. Vyznačuje se především
univerzálním ethernetovým WAN rozhraním, takže lze pro přístup použít jak ADSL
či kabelový modem, tak jakékoliv jiné rozhraní s IP konektivitou. Rovněž zde
nalezneme rozhraní pro síťové sdílení tiskárny, ovšem tentokráte v podobě
klasického paralelního portu, pro jehož obsluhu lze doinstalovat software z
přiloženého CD. I tento model nabízí Wi-Fi připojení lokálních klientů,
implementace je však zatížena několika nepříjemnostmi. V rozhraní jsme
nenalezli možnost přepínat režimy 802.11b a 802.11g, a přestože WEP je k
dispozici i pro délku klíče 256 bitů, zcela zde chybí standard WPA, což je
velká škoda. Protokol 802.1x je podporován pro dynamický WEP. Výbava pro VPN je
stejně slušná jako u zmíněného sourozence, autentizace pro IPSec je prováděna
sdíleným klíčem a šifrovat lze pomocí algoritmů DES a 3DES. Máme možnost
definovat předem až 40 tunelů. Velmi solidní je opět firewall s možností
publikovat nejdůležitější služby a dobře řídit filtraci nežádoucího provozu.
Zapůjčila firma: Vanet, s. r. o.
Cena vč. DPH: 4 800 Kč
ZyXEL Prestige 334
(http://www.mikenopa.cz) Zařízení tradičního výrobce je poměrně univerzálním
řešením pro sdílení širokopásmového internetu. Připojení typu WAN je možné
realizovat pomocí RJ-45 ethernetového rozhraní pomocí statické či dynamické IP
adresy a k dispozici jsou též varianty PPPoE či PPTP, takže lze router nasadit
k ADSL či kabelovému modemu stejně jako třeba k Wi-Fi internetovému připojení.
Pro obsluhu lokálních klientů jsou k dispozici 4 ethernetové porty a DHCP
server lze konfigurovat pro naprosto libovolnou IP adresaci. Nechybí funkce
přesměrování lokálních DNS dotazů, snadno lze vytvořit DHCP rezervaci a velmi
slušné možnosti konfigurace najdete u služby překladu adres (NAT).
Poněkud skromnější výbavu najdeme u virtuálních privátních sítí. Přestože je
možno nastavit IPSec do režimu tunelování i transportu v lokální síti a
šifrování je podporováno pomocí algoritmů DES a 3DES, router dovoluje takto
definovat pouze 2 spojení, což je opravdu málo. Autentizace je tradičně řešena
sdíleným klíčem. Alespoň že je IPSec možné propustit skrze firewall. Velmi
dobré možnosti jsou naopak v oblasti vzdálené administrace a nastavení logování
událostí.
Zapůjčila firma: MiKENOPA, a. s.
Cena vč. DPH: 1 800 Kč
DrayTek Vigor 2900G
(http://www.attel.cz) Pod označením Vigor jsme již tradičně zvyklí nacházet
zařízení s velmi širokými možnostmi a ani v tomto případě se nejedná o výjimku.
Univerzální řešení pro sdílení širokopásmového internetu zahrnuje připojení
pomocí WAN ethernetového portu, 4 ethernetové LAN porty s nepříliš často
vídaným řízením šířky pásma, 802.11b/g přístupový bod a USB rozhraní pro
sdílení síťové tiskárny. Podpora VPN je v tomto případě velmi dobrá. Lze
definovat tunely jak mezi pobočkami (LAN sítěmi), tak pro obsluhu jednotlivých
VPN klientů, šifrování IPSec nabízí kromě algoritmů DES a 3DES také nejnovější
AES a pro zpětnou kompatibilitu nechybí podpora PPTP, dokonce s možností volit
sílu šifry MPPE. Ani další funkce nezůstávají pozadu. Velmi široké možnosti
nabízí firewall díky způsobu sestavování pravidel, samozřejmostí je
konfigurovatelný překlad adres (NAT) a ne zcela běžnou výbavou je možnost řídit
QoS, resp. šířku přerozděleného pásma. Rovněž možnosti zabezpečení Wi-Fi
provozu jsou výborné, samozřejmě včetně plné varianty WPA se zapojením serveru
RADIUS. Zajímavý je také základní systém detekce útoku (IDS), včetně LED
indikace. Tento Vigor patří k nejlépe vybaveným zařízením svého druhu.
Zapůjčila firma: AtTel Bohemia, s. r. o
Cena vč. DPH: 10 100 Kč
ASUS SL500
(http://www.joyce.cz) Firma ASUS není žádnou neznámou a i v minulém díle našeho
přehledu jste mohli nalézt model s touto značkou. Zařízení je koncipováno jako
univerzální router pro malé sítě s velkým důrazem na možnosti zabezpečení. Je
vybaveno 4 porty pro lokální ethernet, stejným rozhraním pro WAN linku a RJ-45
konzolovým konektorem pro administraci prostřednictvím sériové linky. Přestože
připojení k internetu je navrženo univerzálně, pro tuzemské ADSL bychom ocenili
PPTP konektivitu, jež kupodivu chybí, takže váš předřazený ADSL modem musí toto
umět vyřešit.
Opravdu výborně provedený je firewall, jenž nabízí pokročilou konfiguraci
pomocí politik pro určité skupiny uživatelů. Řada uživatelů bezesporu ocení
širokou škálu aplikačních filtrů, např. pro služby SIP a H.323 v oblasti
internetové telefonie. Koncepčně podobným, propracovaným způsobem jsou
implementovány VPN, kde je opět možné definovat politiky pro jednotlivé
uživatele či jejich skupiny. Dostatečně flexibilní je také obsluha LAN klientů
pomocí DHCP služby, dobře lze nastavit službu NAT a na dobré úrovni jsou
možnosti logování činnosti jednotlivých komponent.
Zapůjčila firma: Joyce ČR, s. r. o
Cena vč. DPH: 4 100 Kč
3COM OC VPN Firewall 3CR870-95
(http://www.3com.cz) Společnost 3COM patří mezi tradiční výrobce síťových prvků
a zde představované řešení je již delší dobu standardní součástí nabídky v
rámci řady OfficeConnect pro připojování domácností a malých kanceláří. Jde o
univerzální router, jenž na WAN rozhraní pomocí ethernetu připojuje ADSL či
kabelový modem nebo jakoukoliv statickou či dynamickou IP bránu a do lokálního
segmentu poskytuje 4 ethernetové porty. Hlavní předností je kvalitní
implementace virtuálních privátních sítí. Router podporuje "čistý" IPSec, L2TP
nad IPSec i PPTP spojení a v případě IPSecu dovoluje šifrovat také novou
technologií AES, což zatím není zcela běžné. Jednotlivá spojení jsou
jednoznačně rozdělena na tunelovaná a klientská a podle potřeby jsou takto
obsluhována. Autentizace IPSecu je prováděna dle sdíleného klíče. Z dalších
funkcí je zajímavou možností nastavení priorit pro přidělení šířky pásma různým
službám, velmi slušně je navrženo filtrování nežádoucího obsahu a obsluha LAN
klientů službou DHCP je bez omezení v IP adresaci. Samozřejmostí jsou virtuální
demilitarizovaná zóna, publikování služeb, zajímavostí pak je služba NAT v
režimu one-to-one (1:1).
Zapůjčila firma: 3COM, pobočka Praha
Cena vč. DPH: 9 200 Kč
3COM OC ADSL 11g Router 3CRWE754G72-B
(http://www.3com.cz) Tento model z rodiny "kancelářského vybavení" společnosti
3COM je zaměřen na sdílení internetové konektivity jak pomocí 4 portů
tradičního ethernetu, tak prostřednictvím bezdrátového přípojného bodu Wi-Fi s
rychlejší technologií dle normy 802.11g. Firewall Router má zabudován ADSL
modem a podporuje řadu variant připojení ADSL linky. Konfigurace připojení k
ADSL používanému v ČR je snadná, ovšem integrovaný ADSL modem má továrně
nastaveno odpojení od ADSL v případě nevyužívání spojení. Proto je třeba změnit
parametr "inactivity timeout" z 5 minut na 0 a zařízení již bude pracovat bez
opakovaného odpojování. Bezdrátové rozhraní lze nasadit v sítích 802.11b/g s
možností volby kompatibility a k dispozici je zabezpečení jak pomocí WEPu, tak
formou WPA-PSK se sdíleným klíčem a WPA se serverem RADIUS. Novější standard
AES k dispozici nebyl. Oproti jiným modelům stejné řady je zde dobře
propracován firewall. Lze sestavovat složitější filtry, vázat je na konkrétní
uživatele a také virtuální DMZ může pracovat na více počítačích. Nechybí zde
filtrování dle MAC adres. Nastavení DHCP serveru pro interní klienty je omezeno
na pevně daný síťový segment s určenou maskou třídy C.
Zapůjčila firma: 3COM, pobočka Praha
Cena vč. DPH: 5 100 Kč
3COM OfficeConnect Secure Router 3CR860-95
(http://www.3com.cz) Tento model z nabídky společnosti 3COM představuje
tradiční hardwarové řešení pro bezpečné sdílení internetového připojení s
implementací virtuálních privátních sítí. Ethernetové WAN rozhraní lze připojit
ke kabelovému modemu, ADSL modemu včetně PPTP sestavení linky či jinému
rozhraní se statickou či dynamicky přidělovanou IP adresou, do lokální sítě
jsou k dispozici 4 ethernetové porty 10/100. Podpora VPN je poměrně všestranná,
takže je možné sestavovat jak IPSec tunely mezi pobočkami s různými LAN sítěmi,
tak přímo připojovat klienty pomocí L2TP/IPSec nebo PPTP. Pro šifrování jsou k
dispozici DES, 3DES i nejnovější AES, autentizace klientů IPSecu probíhá pomocí
sdíleného klíče. Poměrně dobré možnosti nabízí zabudovaný firewall, přesněji
publikování služeb do internetu, propouštění specifických protokolů a hodně
může také pomoci filtrování požadavků uživatelů z vnitřní sítě na základě
klasifikace závažnosti obsahu. V případě dostatku WAN IP adres lze zprovoznit
pro speciální účely službu NAT v režimu 1:1 a při obsluze LAN klientů pomocí
DHCP služby nebudete ničím omezeni.
Zapůjčila firma: 3COM, pobočka Praha
Cena vč. DPH: 3 700 Kč
DrayTek Vigor2900
(http://www.attel.cz) Model s označením 2900 je velmi podobný svému sourozenci,
o němž si můžete rovněž přečíst v tomto našem přehledu. Liší se v zásadě jen
absencí bezdrátové části pro obsluhu Wi-Fi klientů. Připojení internetové linky
lze realizovat přes ethernetový WAN port mimo jiné jako PPTP spojení pro
tuzemské ADSL, nechybí statická či dynamická IP adresa. Pro LAN jsou k
dispozici 4 ethernetové porty a 1 USB rozhraní pro síťovou tiskárnu. Tradičně
výborné jsou bezpečnostní funkce. Velmi propracovaný je firewall a možnosti
definování příslušných pravidel, jež zahrnují také filtr URL adres či základní
modul pro obranu proti DoS útokům. Široké možnosti nabízí také implementace
VPN, kde jsou k dispozici šifrovací algoritmy DES, 3DES a AES, krom IPSecu
nechybí PPTP a odděleně je možné konfigurovat jak vzdálené klienty, tak tunely
mezi pobočkami. Mezi ne zcela běžnou výbavu určitě patří technologie
virtuálních LAN sítí s možností vazby na vybrané porty a omezením šířky pásma a
ani funkce QoS pro řízení využití WAN linky není úplnou samozřejmostí. Možnosti
DHCP serveru jsou také velmi slušné a kvalitní je též diagnostické rozhraní.
Zapůjčila firma: AtTEL Bohemia, s. r. o.
Cena vč. DPH: 6 600 Kč
SMC BR14VPN a BR18VPN
(http://www.compexdata.cz) Zařízení pod značkou SMC patří mezi stálice nejen na
tuzemském trhu a většinou se vyznačují širokou škálou funkcí, což potvrzuje
tento představovaný model. Jedná se o širokopásmový router s řadou variant
internetového připojení, mezi nimiž najdeme PPTP pro tuzemské ADSL či klasické
IP připojení třeba ke kabelovému modemu, což v obou případech zajistí
standardní ethernetový port. Zajímavou možností je klasický sériový konektor
pro dial-up či ISDN modem, což rozšiřuje variabilitu WAN spojení. Výbava funkcí
pro VPN je velmi slušná. Router může pracovat jako brána pro spojení s
ostatními pobočkami, kde je použit tradiční IPSec s dobrými možnostmi
šifrování, vzdálené klienty lze obsloužit pomocí PPTP či L2TP tunelovaných
připojení. Variabilita konfigurace IPSec tunelů je velmi vysoká a správce tak
má prakticky vše bezpečně pod kontrolou, včetně možnosti zvolit šifru 3DES.
Router dále nabízí kvalitní zabudovaný firewall a variabilní nastavení služby
NAT, obsluha LAN klientů DHCP serverem je však omezena na rozsah adres třídy C.
Router je dodáván ve variantách se 4 či 8 ethernetovými porty pro připojení
lokálních počítačů.
Zapůjčila firma: Compex Data Bohemia, s. r. o.
Cena vč. DPH: 3 200 Kč a 4 400 Kč
Linksys WRV54GS a WRV54G
(http://www.levi.cz) Zařízení se značkou Linksys bezesporu nejsou zajímavá jen
svým lehce futuristickým designem, ale též skutečností, že patří do stáje
jednoho z dirigentů vývoje síťových technologií, společnosti Cisco. K dispozici
jsme měli dvě zařízení s výše uvedeným označením, jež představovala dva odlišné
světy. Druhé uvedené je klasickým routerem s širokými možnostmi při sestavování
VPN spojení. Pomocí ethernetového portu lze připojit ADSL, kabelové či jiné WAN
rozhraní a lokální síť může být sestavena jak pomocí ethernetu, tak
prostřednictvím bezdrátového připojení 802.11b/g s výbornými možnostmi
zabezpečení, včetně RADIUS služby a AES. Implementace VPN nabízí dobré možnosti
pomocí IPSecu, na druhou stranu L2TP či PPTP server chybí. Velmi dobrý je pak
firewall s filtrováním na aplikační úrovni. Mírně odlišný je model s označením
GS. Je vybaven řešením SpeedBooster pro rychlejší bezdrátový přenos, což jsme
mohli vyzkoušet pomocí klientské karty stejného dodavatele, avšak zcela mu
chybí výbava pro VPN, a to jej předurčuje pro odlišné nasazení. Ideální
kombinací by bylo propojení schopností obou zařízení dohromady.
Zapůjčila firma: Levi International
Cena vč. DPH: 54GS není, 54G 6 500 Kč
PŘEDPLATNÉ
ČLÁNKY DO MAILU